Questions d'ordre général

Qu'est-ce qu'AWS Single Sign-On (AWS SSO) ?

AWS Single Sign-On (AWS SSO) est l'endroit où vous créez, ou connectez, les identités de votre main-d'œuvre dans AWS une seule fois, puis où vous gérez les accès de manière centralisée au sein de votre organisation AWS. Vous pouvez choisir de gérer les accès à vos comptes AWS uniquement ou à vos applications cloud. Vous pouvez créer les identités des utilisateurs directement dans AWS SSO, ou vous pouvez les importer depuis votre compte Microsoft Active Directory ou votre fournisseur d'identités qui se base sur des normes, telles que Okta Universal Directory ou Azure AD. Avec AWS SSO, vous bénéficiez d'une expérience d'administration unifiée permettant de définir, personnaliser et attribuer des accès précis. Votre main-d'œuvre bénéficie d'un portail utilisateur pour accéder à tous les comptes AWS et applications cloud qui ont été attribués. Il est possible de configurer AWS SSO de manière flexible afin d'exécuter en parallèle ou de remplacer la gestion des accès aux comptes AWS via AWS IAM.

Quels sont les avantages d'AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder et gérer rapidement et facilement l'accès de vos employés à plusieurs comptes AWS, à des applications SAML basées sur le cloud (par ex., Salesforce, Microsoft 365 et Box) et à des applications internes conçues sur mesure, le tout depuis un seul et même endroit. Les employés peuvent être plus productifs en se connectant avec les identifiants de leurs comptes professionnels existants sur Active Directory ou avec ceux que vous configurez dans AWS SSO pour leur permettre d'accéder à leurs applications depuis leur portail utilisateur personnalisé. Désormais, les employés n'ont plus besoin de mémoriser plusieurs jeux d'informations d'identification ni les URL d'accès aux applications cloud. De plus, les nouveaux employés sont productifs dès le premier jour. Les utilisateurs que vous ajoutez au groupe approprié dans votre annuaire ont automatiquement accès aux comptes et applications activés pour les membres du groupe. Vous bénéficiez d'une meilleure visibilité sur l'utilisation des applications cloud, car vous pouvez surveiller et contrôler les activités de connexion de façon centralisée depuis AWS CloudTrail.

Quels sont les problèmes résolus par AWS SSO ?

AWS SSO élimine la complexité administrative des solutions d'authentification unique (SSO) personnalisées que vous utilisez pour allouer et gérer les identités entre les comptes AWS et les applications métier. Lorsque vous utilisez plusieurs comptes AWS et que vous ajoutez des comptes régulièrement, la configuration de SSO avec Active Directory Federation Services (AD FS) pour accéder à ces comptes nécessite l'apprentissage du langage de programmation personnalisé basé sur les revendications AD FS. Vous devez également préparer les comptes AWS avec les autorisations nécessaires pour pouvoir accéder à ces comptes. AWS SSO est disponible sans frais supplémentaires et réduit la complexité liée à la configuration répétitive et à la gestion disparate en s'intégrant étroitement à AWS. Si vous utilisez des mots de passe distincts pour accéder à différents comptes AWS ou différentes applications cloud, AWS SSO simplifie l'expérience utilisateur et améliore la sécurité en éliminant les mots de passe individuels nécessaires pour chaque compte AWS ou application métier basée sur le cloud. AWS SSO résout également le problème de la visibilité limitée de l'accès à vos applications cloud en s'intégrant à AWS CloudTrail et en fournissant un seul emplacement pour vous permettre de contrôler l'accès par authentification unique (SSO) aux comptes AWS et aux applications SAML basées sur le cloud, telles que Microsoft 365, Salesforce et Box.

Pourquoi utiliser AWS SSO ?

Nous vous recommandons d'utiliser AWS SSO pour aider vos employés à gagner en productivité rapidement en leur accordant un accès aux comptes AWS et aux applications métier basées sur le cloud, sans écrire de scripts personnalisés ni investir dans des solutions SSO universelles. Nous vous conseillons également d'utiliser AWS SSO pour réduire la complexité administrative et le coût de configuration et de gestion de l'accès par authentification unique (SSO).

AWS SSO permet à vos employés d'accéder à vos comptes AWS et aux applications dont ils ont besoin dans le cadre de leur travail depuis le portail utilisateur AWS SSO, peu importe où ces applications ont été créées et où elles sont hébergées.

Que puis-je faire avec AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder rapidement et facilement à vos employés un accès à des comptes AWS gérés à l'aide d'AWS Organizations, à des applications métiers basées sur le cloud (par ex., Salesforce, Microsoft 365 et Box) et à des applications personnalisées prenant en charge le protocole SAML (Security Assertion Markup Language) 2.0. Les employés peuvent se connecter à l'aide des identifiants de leurs comptes professionnels ou des identifiants qu'ils ont eux-mêmes configurés dans AWS SSO pour accéder à leurs applications métiers depuis un portail utilisateur unique. AWS SSO vous permet également de contrôler l'accès des utilisateurs aux services cloud à l'aide d'AWS CloudTrail.

À qui s'adresse AWS SSO ?

AWS SSO s'adresse aux administrateurs qui gèrent plusieurs comptes AWS et applications métier, qui souhaitent gérer de façon centralisée l'accès des utilisateurs à ces services de cloud et qui désirent mettre à disposition des employés un endroit unique pour leur permettre d'accéder à ces comptes et applications sans qu'ils aient besoin de mémoriser un nouveau mot de passe.

Comment démarrer avec AWS SSO ?

En tant que nouveau client d'AWS SSO, vous devez suivre la procédure suivante :

  1. Connectez-vous à la console de gestion AWS depuis le compte de gestion de votre compte AWS et accédez à la console AWS SSO.
  2. Sélectionnez le répertoire de stockage des identités de vos utilisateurs et de vos groupes depuis la console AWS SSO. AWS SSO vous fournit un annuaire par défaut que vous pouvez utiliser pour gérer les utilisateurs et les groupes dans AWS SSO. Vous avez également la possibilité de changer d'annuaire et de vous connecter à un annuaire Microsoft AD en cliquant sur une liste d'instances Microsoft AD et AD Connector gérées qu’AWS SSO découvre automatiquement dans votre compte. Si vous désirez vous connecter à un répertoire Microsoft AD, consultez Premiers pas avec AWS Directory Service.
  3. Accordez aux utilisateurs un accès par authentification unique (SSO) aux comptes AWS de votre organisation en sélectionnant les comptes AWS dans une liste pré-remplie par AWS SSO, puis en choisissant les utilisateurs ou groupes dans votre annuaire, ainsi que les autorisations que vous souhaitez leur accorder. 
  4. Accordez aux utilisateurs un accès aux applications métiers basées sur le cloud en :
    1. Sélectionnant l'une des applications de la liste des applications pré-intégrées prises en charge dans AWS SSO
    2. Configurant l'application selon les instructions appropriées
    3. Sélectionnant les utilisateurs ou groupes qui doivent pouvoir accéder à cette application.
  5. Communiquez à vos utilisateurs l'adresse de connexion Web AWS SSO générée lorsque vous avez configuré le répertoire. Il en ont besoin pour s'inscrire à AWS SSO ainsi que pour accéder aux comptes et aux applications métiers.

Combien coûte AWS SSO ?

AWS SSO est disponible sans frais supplémentaires.

Dans quelles régions AWS le service AWS SSO est-il disponible ?

Consultez le tableau des régions AWS pour connaître la disponibilité d'AWS SSO par région.

Prise en charge des sources d'identité et des applications

Quelles sources d'identité puis-je utiliser avec AWS SSO ?

Avec AWS SSO, vous pouvez créer et gérer les identités des utilisateurs dans la base d'identités d'AWS SSO, ou vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) ou un autre fournisseur d'identité pris en charge. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Puis-je connecter plusieurs sources d'identité à AWS SSO ?

Non. À tout moment, vous ne pouvez avoir qu'un seul répertoire ou un seul fournisseur d'identité SAML 2.0 connecté à AWS SSO. Cependant, vous pouvez remplacer la source d'identité qui est connectée par une autre.

Quels fournisseurs d'identité SAML 2.0 puis-je utiliser avec AWS SSO ?

Vous pouvez connecter AWS SSO à la plupart des fournisseurs d'identité SAML 2.0, comme Okta Universal Directory ou Azure Active Directory. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Comment allouer des identités dans AWS SSO à partir de mon fournisseur d'identité existant ?

Les identités provenant de votre fournisseur d'identité existant doivent être allouées dans AWS SSO avant que vous ne puissiez attribuer des autorisations. Vous pouvez synchroniser automatiquement les informations d'utilisateurs et de groupes à partir d'Okta Universal Directory, Azure AD, OneLogin et PingFederate, grâce à la norme SCIM (System for Cross-domain Identity Management). Pour les autres fournisseurs d'identité, vous pouvez allouer des utilisateurs à partir de votre fournisseur d'identité à l'aide de la console AWS SSO. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Puis-je automatiser la synchronisation d'identités à partir de mon fournisseur d'identité dans AWS SSO ?

Oui. Si vous utilisez Okta Universal Directory, Azure AD, OneLogin ou PingFederate, vous pouvez utiliser SCIM pour synchroniser automatiquement les informations d'utilisateurs et de groupes à partir de votre fournisseur d'identité dans AWS SSO. Consultez le guide de l'utilisateur AWS SSO pour en savoir plus.

Comment connecter AWS SSO à mon Microsoft Active Directory ?

Vous pouvez connecter AWS SSO à votre annuaire Active Directory (AD) sur site ou à un annuaire AD Microsoft géré par AWS en utilisant AWS Directory Service. Consultez le guide de l’utilisateur AWS SSO pour en savoir plus.

Je gère mes utilisateurs et mes groupes dans l’annuaire Active Directory sur site. Comment puis-je exploiter ces utilisateurs et groupes dans AWS SSO ? 

Vous avez deux options pour vous connecter à l'annuaire Active Directory hébergé sur site à AWS SSO : (1) utiliser le AD Connector, ou (2) utiliser une relation d'approbation AD Microsoft gérée par AWS.

AD Connector connecte simplement votre Active Directory existant sur site à AWS. AD Connector est une passerelle d'annuaire avec laquelle vous pouvez rediriger les demandes d'annuaire vers votre Microsoft Active Directory sur site sans mettre en cache aucune information dans le cloud. Pour connecter un annuaire sur site à l'aide de AD Connector, consultez le guide d'administration d'AWS Directory Service.

AWS Managed Microsoft AD permet de configurer et d'exécuter facilement Microsoft Active Directory dans AWS. Il peut être utilisé pour configurer une relation d'approbation de forêt entre votre annuaire sur site et AWS Managed Microsoft AD. Pour configurer une relation d’approbation, consultez le guide d’administration d’AWS Directory Service.

Je gère des utilisateurs et des groupes dans AWS Identity and Access Management (IAM). Puis-je utiliser mes utilisateurs et groupes IAM dans AWS SSO ?

AWS SSO ne prend pas en charge les utilisateurs et les groupes AWS IAM à l'heure actuelle.

Puis-je utiliser mes groupes d'utilisateurs Amazon Cognito comme source d'identité dans AWS SSO ?

Amazon Cognito est un service qui vous permet de gérer les identités pour vos applications d'interface avec les clients ; il ne s'agit pas d'une source d'identité prise en charge dans AWS SSO. Vous pouvez créer et gérer les identités de vos employés dans AWS SSO ou dans votre source d'identité externe, notamment Microsoft Active Directory, Okta Universal Directory, Azure Active Directory (Azure AD) ou un autre fournisseur d'identités pris en charge.

Le service AWS SSO prend-il en charge les interfaces de navigateur, de ligne de commande et mobile ?

Oui, vous pouvez utiliser AWS SSO pour contrôler l'accès à AWS Management Console et CLI v2. AWS SSO permet à vos utilisateurs d'accéder à la CLI et à AWS Management Console via une expérience d’authentification unique. L'application AWS Mobile Console prend également en charge AWS SSO afin que vous obteniez une expérience d’authentification cohérente à travers les interfaces de navigateur, mobiles et de ligne de commande.

Quelles applications cloud puis-je connecter à AWS SSO ?

Vous pouvez connecter les applications suivantes à AWS SSO :

  1. Applications intégrées à AWS SSO: les applications intégrées à AWS SSO telles queSageMaker Studio et IoT SiteWise utilisent AWS SSO pour l'authentification et fonctionnent avec les identités que vous avez dans AWS SSO. Aucune configuration supplémentaire n'est nécessaire pour synchroniser les identités dans ces applications ou pour configurer la fédération séparément.
  2. Applications SAML pré-intégrées : AWS SSO est pré-intégré avec les applications métier courantes. Pour obtenir la liste complète de ces applications, reportez-vous à la console AWS SSO.
  3. Applications SAML personnalisées : AWS SSO prend en charge les applications qui permettent la fédération d'identité en utilisant SAML 2.0. Vous pouvez activer AWS SSO pour prendre en charge ces applications à l'aide de l'assistant d'application personnalisé.

Accès par authentification unique (SSO) aux comptes AWS

Quels comptes AWS puis-je connecter à AWS SSO ?

Vous pouvez ajouter un compte AWS géré à AWS SSO en utilisant AWS Organizations. Vous devez activer toutes les fonctionnalités de vos organisations pour gérer vos comptes SSO.

Comment configurer SSO sur les comptes AWS d'une unité d'organisation (UO) au sein de mon organisation ?

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer les comptes par UO.

Comment contrôler les autorisations accordées à mes utilisateurs lorsqu'ils accèdent à leurs comptes à l'aide d'AWS SSO ?

Lorsque vous accordez l'accès à vos utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les ensembles d'autorisations sont un groupe d'autorisations que vous pouvez créer dans AWS SSO, en les modélisant en fonction de stratégies gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. AWS SSO applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, AWS SSO vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes via le portail utilisateur AWS SSO, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs ensembles d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte via le portail utilisateur, ils peuvent choisir l'ensemble d'autorisations qu'ils souhaitent utiliser pour cette séance.

Comment automatiser la gestion des autorisations sur plusieurs comptes ?

AWS SSO fournit des API et le support AWS CloudFormation pour automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Puis-je implémenter un contrôle d'accès reposant sur les attributs dans AWS SSO ?

Oui. AWS SSO vous permet de sélectionner les attributs utilisateur, comme le centre de coût, le titre, ou le lieu, à partir de votre source d'identité, et de les utiliser pour procéder à un contrôle d'accès reposant sur les attributs (ABAC) dans AWS. Vous pouvez définir les autorisations en une seule fois avant de donner, retirer ou modifier un accès AWS en modifiant simplement les attributs dans la source d'identité.

Comment dois-je sélectionner les attributs à utiliser dans l'ABAC ?

Pour implémenter l'ABAC, vous pouvez sélectionner des attributs dans la base d'identité AWS SSO pour les utilisateurs AWS SSO et les utilisateurs synchronisés depuis Microsoft AD ou des fournisseurs d'identité SAML 2.0 externes, notamment Okta Universal Directory, Azure AD, OneLogin ou PingFederate. Lorsque vous utilisez un fournisseur d'identité comme source d'identité, vous avez la possibilité d'envoyer les attributs en tant qu'assertion SAML 2.0.

Pour quel compte AWS puis-je obtenir des informations d'identification pour l'interface de ligne de commande (CLI) AWS ?

Vous pouvez obtenir des informations d'identification pour la CLI AWS pour toutes les autorisations de compte et utilisateurs AWS que votre administrateur AWS SSO vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Combien de temps les informations d'identification de l'interface de ligne de commande AWS sont-elles valides pour le portail utilisateur d'AWS SSO ?

Les informations d'identification pour la CLI AWS récupérées par le portail utilisateur d'AWS SSO sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Accès par authentification unique (SSO) aux applications métier

Comment configurer l'authentification unique (SSO) sur les applications métier telles que Salesforce ?

Dans la console AWS SSO, accédez au volet des applications, choisissez « Configure new application » et sélectionnez une application dans la liste des applications cloud pré-intégrées à AWS SSO. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon entreprise utilise des applications métier que ne figurent pas dans la liste des applications pré-intégrées à AWS SSO. Puis-je tout de même utiliser AWS SSO ?

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console AWS SSO, accédez au volet des applications et choisissez l'option « Configure new application », puis « Custom SAML 2.0 application ». Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon application prend uniquement en charge le protocole OpenID Connect (OIDC). Puis-je l’utiliser avec AWS SSO ?

Non. AWS SSO prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Est-ce qu'AWS SSO prend en charge l'authentification unique pour les applications mobiles et de bureau natives ?

Non. AWS SSO prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur Web.

Divers

Quelles données le service AWS SSO stockera-t-il en mon nom ?

AWS SSO stockera les données concernant l'attribution des comptes AWS et des applications cloud aux différents utilisateurs et groupes, ainsi que l'octroi des différentes autorisations d'accès aux comptes AWS. AWS SSO créera et gérera également les rôles IAM des comptes AWS individuels pour chaque ensemble d'autorisations auquel vous accordez l'accès aux utilisateurs.

Quelles capacités MFA (Multi-Factor authentication) puis-je utiliser avec AWS SSO ?

Avec AWS SSO, vous pouvez activer de fortes capacités d'authentification reposant sur des normes pour tous vos utilisateurs dans toutes les sources d'identité. Si vous utilisez un fournisseur d'identité SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les capacités d'authentification MFA (Multi-Factor Authentication) de votre fournisseur. Lorsque vous utilisez Active Directory ou AWS SSO comme source d'identité, AWS SSO prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès utilisateur aux comptes AWS et aux applications d'entreprise en utilisant des clés de sécurité certifiées FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, comme Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP), telles que Google Authenticator ou Twilio Authy.

Vous pouvez également utiliser votre configuration MFA RADIUS (Remote Authentication Dial-In User Service) existante avec AWS SSO ou AWS Directory Services pour l'authentification de vos utilisateurs par le biais d'un questionnaire de vérification secondaire. Pour en découvrir davantage sur la configuration MFA avec AWS SSO, visitez le Guide de l'utilisateur AWS SSO.

AWS SSO prend-il en charge la spécification Web Authentication ?

Oui. Pour les identités des utilisateurs dans la base d'identité d'AWS SSO ou dans Active Directory, AWS SSO prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès utilisateur aux comptes AWS et aux applications d'entreprise en utilisant des clés de sécurité certifiées FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, comme Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP), telles que Google Authenticator ou Twilio Authy.

Comment mes employés peuvent-ils faire leurs premiers pas avec AWS SSO ?

Les employés peuvent démarrer avec AWS SSO en consultant le portail utilisateur AWS SSO qui est généré lorsque vous configurez votre source d'identité dans AWS SSO. Si vous gérez vos utilisateurs dans AWS SSO, vos employés peuvent utiliser leur adresse e-mail et leur mot de passe qu'ils ont configurés avec AWS SSO pour se connecter au portail utilisateur. Si vous connectez AWS SSO à Microsoft Active Directory ou à un fournisseur d'identité SAML 2.0, vos employés peuvent se connecter au portail utilisateur avec leurs informations d'identification d'entreprise existantes, puis afficher les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante depuis le portail utilisateur AWS SSO.

Existe-t-il une API pour AWS SSO ?

Oui. AWS SSO fournit des API d'affectation de compte pour automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Prêt à vous lancer ?

S'inscrire à AWS Single Sign-On
D'autres questions ?
Nous contacter